De Inspectie Gezondheidszorg en Jeugd (IGJ) is onlangs een onderzoek gestart naar informatiebeveiliging bij een laboratorium dat slachtoffer werd van een grote hack. Daarbij werden de gegevens van bijna een half miljoen vrouwen buitgemaakt. Dit incident benadrukt niet alleen de ernst van datalekken, maar ook dat de IGJ informatiebeveiliging steeds nadrukkelijker meeneemt in haar toezicht op de kwaliteit van zorg. Overigens had de Autoriteit Persoonsgegevens (AP) eerder al aangekondigd een onderzoek te starten bij hetzelfde laboratorium.
We kunnen dus concluderen dat het voor zorgaanbieders niet alleen belangrijker is om hun beveiliging op orde te hebben, maar dat het ook van groot belang is om aan te kunnen tonen dat zij voldoen aan de norm voor informatiebeveiliging in de zorg: NEN 7510.
Wat verwacht de IGJ van zorgaanbieders?
Volgens de IGJ is informatiebeveiliging een randvoorwaarde voor continuïteit van zorg. Ransomware, hacks of zelfs een stroomstoring kunnen direct invloed hebben op patiëntveiligheid. Daarom verwacht de IGJ dat zorgaanbieders aantoonbaar werk maken van een information security management system (ISMS) dat voldoet aan NEN 7510.
Het is niet verplicht om een NEN 7510 certificaat te hebben, al is dat wel een goede manier om aan te tonen dat je conform de norm werkt. Maar je kunt dat ook op andere manieren aantonen.
Hoe toon je compliance aan?
Om de IGJ te overtuigen dat informatiebeveiliging op orde is, zul je moeten kunnen laten zien dat je een ISMS hebt dat goed werkt. Dat is dus méér dan een document met de titel ‘informatiebeveiligingsbeleid’. Belangrijke elementen zijn:
- Regelmatige onafhankelijke beoordelingen:De IGJ verwacht dat organisaties hun ISMS en de beheersmaatregelen uit bijlage A van de NEN 7510 regelmatig laten beoordelen door een onafhankelijke, deskundige auditor.
- Bewijsvoering: Het is niet voldoende om beleid en plannen op papier te hebben; organisaties moeten aantonen dat maatregelen in de praktijk werken, bijvoorbeeld via logbestanden, incidentrapportages en interviews met medewerkers.
- Continu verbeteren (plan-do-check-act): Werken volgens NEN 7510 betekent continu meten, bijsturen en verbeteren. Compliance is dus geen eenmalige exercitie, maar een doorlopend proces.
NEN 7510 biedt méér dan compliance
Hoewel de druk vanuit toezichthouders als de IGJ en de Autoriteit Persoonsgegevens toeneemt, gaat NEN 7510 verder dan enkel voldoen aan de wet. Een goed ingericht ISMS zorgt voor vertrouwen bij patiënten, partners en leveranciers, en beperkt de schade als er toch een incident plaatsvindt.
Relatie met NIS2 en de Cyberbeveiligingswet (Cbw)
Naast de verplichtingen uit NEN 7510 staat de zorgsector ook aan de vooravond van nieuwe Europese wetgeving: de NIS2-richtlijn en de Nederlandse Cyberbeveiligingswet. Deze wetgeving legt extra nadruk op risicomanagement, rapportage van incidenten en toezicht op cybersecurity in vitale sectoren, waaronder de zorg. Door nu al aantoonbaar te werken volgens NEN 7510, zet je als zorgorganisatie een stevige stap richting compliance met NIS2 en voorkom je dat jij straks opnieuw grote inhaalslagen moet maken.
Ben je benieuwd hoe je jouw organisatie aantoonbaar aan NEN 7510 kunt laten voldoen? Onze collega’s staan voor je klaar om met je mee te denken.
